Pump зазнав внутрішньої атаки, збитки можуть досягти 2 мільйонів доларів США

Нещодавно платформа Pump зазнала внутрішньої атаки, що призвело до втрати коштів на платформі. У цій статті буде проведено аналіз та розбір подій, що сталися.

Аналіз процесу атаки

Цей напад, ймовірно, не був здійснений висококласними хакерами, а, скоріше, колишнім працівником певної платформи. Зловмисник отримав доступ до приватного ключа одного ключового гаманця, який має право створювати торгові пари для кожного нового токена на певному DEX.

Атакуюча сторона спочатку отримала кредит на блискавичне позичання з однієї з платформ кредитування, щоб заповнити всі нові токени, які ще не досягли стандарту, у фонді. У нормальних умовах, коли фонд досягає стандарту, SOL з підготовчого рахунку буде переведено на інший рахунок. Однак під час цього процесу атакуюча сторона вивела SOL, що призвело до того, що ці нові токени не змогли вийти на торги у запланований термін.

Аналіз жертв

У цій події платформа блискавичних кредитів не зазнала збитків, оскільки кредит був повернутий у тому ж блоці. Крім того, токени, які вже запущені на біржі, також не повинні постраждати, оскільки ліквідність вже заблокована.

Справжніми потерпілими є ті користувачі, які перед нападом вже придбали нові токени, які ще не заповнили пул фінансування. Їхні вкладені SOL були переведені зловмисниками, що призвело до величезних втрат. Хоча спочатку оцінювалося, що втрати можуть досягти 80 мільйонів доларів, але остання інформація показує, що фактичні втрати становлять близько 2 мільйонів доларів.

Дослідження причин атаки

Основною причиною цього інциденту є неналежне управління правами доступу на платформі. Найімовірніше, зловмисник був співробітником, який відповідав за наповнення фонду нових токенів і мав відповідні права. Така практика могла бути спрямована на створення торгового ажіотажу на початкових етапах роботи платформи, подібно до того, як деякі соціальні платформи на початкових етапах використовують ботів для імітації активності.

Однак, неправильне управління правами доступу врешті-решт призвело до атаки з боку внутрішніх осіб, що завдало серйозних збитків платформі та користувачам.

Уроки досвіду

1. Для подібних проектів простого копіювання поверхневих моделей недостатньо. Потрібно подумати про те, як забезпечити початковий імпульс, щоб залучити користувачів до участі.

2. Управління правами доступу є вкрай важливим. Команда проекту повинна створити сувору механізм контролю прав доступу, регулярно перевіряти та оновлювати налаштування прав, щоб уникнути внутрішніх ризиків.

3. Користувачі повинні бути обережними при участі в нових проектах, особливо щодо токенів або фондів, які ще не повністю сформовані, і ретельно оцінювати ризики.

4. Проектна команда повинна створити більш досконалі механізми безпеки та плани реагування для протидії можливим атакам.

Ця подія знову нагадує нам, що в швидко зростаючій сфері криптовалют безпека завжди є головним пріоритетом. Незалежно від того, чи це команда проекту, чи користувачі, всі повинні залишатися насторожі і вживати необхідних заходів безпеки.